| Oracle Database Advanced Security管理者ガイド 11g リリース1(11.1) E05729-02 |
|
 戻る |
 次へ |
セキュリティ管理者は、Oracle Wallet Managerを使用して、Oracleクライアントおよびサーバー上の公開鍵のセキュリティ資格証明を管理します。作成するウォレットは、Oracle Database、Oracle Application Server 10g およびOracle Identity Managementインフラストラクチャによる読取りが可能です。
この章では、Oracle Wallet Managerについて説明します。項目は、次のとおりです。
|
関連項目:
|
Oracle Wallet Managerは、ウォレットの所有者が各自のOracleウォレット内のセキュリティ資格証明を管理および編集するために使用するアプリケーションです。ウォレットは、秘密鍵、証明書およびSSLに必要な信頼できる証明書も含めて、認証および署名された資格証明の格納に使用されるパスワードで保護されたコンテナです。Oracle Wallet Managerを使用して、次の作業を実行できます。
Oracle Wallet Managerは、次の機能を提供します。
Oracleウォレットはパスワードで保護されています。Oracle Wallet Managerには、高度なウォレット・パスワード管理モジュールが組み込まれており、次のようなパスワード管理方針が規定されています。
パスワードの最小の長さ(8文字)
パスワードの最大の長さ(無制限)
英数字の組合せ(必須)
Oracle Wallet Managerにより、複数のOracleウォレットをWindowsファイル管理システムまたはMicrosoft Windowsシステム・レジストリのユーザー・プロファイル領域に格納できます。レジストリにウォレットを格納すると、次のような利点があります。
アクセス制御の向上: レジストリのユーザー・プロファイル領域に格納されたウォレットには、対応するユーザーのみがアクセスできます。そのため、システムのユーザー・アクセス制御がそのままウォレットのアクセス制御になります。また、ユーザーがシステムからログアウトすると、そのユーザーのウォレットには実質的にアクセスできなくなります。
容易な管理: ウォレットが特定のユーザー・プロファイルに関連付けられているため、アクセス権を管理する必要がありません。また、ユーザー・プロファイルを削除すると、プロファイルに格納されているウォレットも自動的に削除されます。レジストリ内のウォレットは、Oracle Wallet Managerを使用して作成および管理できます。
RSA Security社の一部門であるRSA Laboratoriesが、業界、学界、政府と共同で、公開鍵暗号標準(PKCS)と呼ばれる基本的な暗号標準のファミリを開発しました。これらの標準は、公開鍵技術を使用してイントラネットとインターネット経由のデータを保護するコンピュータ・システム間の相互運用を確立します。
Oracle Wallet Managerは、PKCS #12形式でX.509証明書と秘密鍵を格納し、PKCS #10仕様に従って証明書要求を生成します。これらの機能により、Oracleウォレットが、サポートされているサード・パーティ製PKIアプリケーションと相互運用可能な構造になり、オペレーティング・システム間でのウォレットの移植が可能になります。
Oracle Wallet ManagerウォレットはPKCS #11仕様に準拠するAPIを使用するハードウェア・セキュリティ・モジュールに資格証明を格納できます。ウォレット作成時にPKCS11がウォレット・タイプとして選択されている場合、そのウォレットに格納されているすべての鍵がハードウェア・セキュリティ・モジュールまたはトークンに保管されます。このようなハードウェア・デバイスの例には、秘密鍵の格納または暗号処理の実行(あるいはその両方)を行うスマートカード、PCMCIAカード、スマート・ディスケット、または他のポータブル・ハードウェア・デバイスなどがあります。
|
注意: 64ビットのSolaris Operating SystemでOracle Wallet ManagerをPKCS #11統合とともに使用するには、コマンドラインで owm -pkcs11と入力します。 |
Oracle Wallet Managerにより、複数の証明書を各ウォレットに格納でき、次のいずれかのOracle PKI証明書使用方法がサポートされます。
SSL認証
S/MIME署名
S/MIME暗号化
コード署名
CA証明書署名
作成した各証明書要求によって、一意の秘密鍵と公開鍵のペアが生成されます。秘密鍵はウォレット内に残り、公開鍵は証明書要求とともに認証局に送信されます。認証局が証明書を生成して署名すると、対応する秘密鍵のあるウォレットにのみこの証明書をインポートできます。
このウォレットに別の証明書要求も含まれている場合、その証明書要求に対応する秘密鍵と公開鍵のペアは、最初の証明書要求のペアとは異なります。この異なる証明書要求を認証局に送信すると、別の署名された証明書が提供されます。この証明書は同じウォレットにインポートできます。
単一の証明書要求を認証局に複数回送信して、複数の証明書を取得できます。ただし、ウォレットにインストールできるのは、その証明書要求に対応する1つの証明書のみです。
Oracle Wallet Managerでは、X.509バージョン3 KeyUsage拡張を使用して、Oracle PKI証明書使用方法を定義しています(表9-1)。単一の証明書をすべての証明書使用方法に適用することはできません。表9-2および表9-3に正当な使用方法の組合せを示します。
表9-1 KeyUsageの値
| 値 | 使用方法 |
|---|---|
|
0 |
digitalSignature |
|
1 |
nonRepudiation |
|
2 |
keyEncipherment |
|
3 |
dataEncipherment |
|
4 |
keyAgreement |
|
5 |
keyCertSign |
|
6 |
cRLSign |
|
7 |
encipherOnly |
|
8 |
decipherOnly |
証明書をインストールする場合、Oracle Wallet Managerは、表9-2と表9-3に指定されているように、KeyUsage拡張の値を、Oracle PKI証明書使用方法にマップします。
表9-2 Oracle Wallet ManagerによるOracleウォレットへのユーザー証明書のインポート
| KeyUsageの値 | 重要性脚注 1 | 使用方法 |
|---|---|---|
|
なし |
N/A |
証明書は、SSLまたはS/MIME暗号化で使用するためにインポートできます。 |
|
0のみ、または0と任意の値(5および2を除く) |
N/A |
S/MIME署名またはコード署名で使用するために証明書を受け入れます。 |
|
1のみ |
選択する |
インポートできません。 |
|
1のみ |
選択しない |
S/MIME署名またはコード署名で使用するために証明書を受け入れます。 |
|
2のみ、または2と任意の値の組合せ(5を除く) |
N/A |
SSLまたはS/MIME暗号化で使用するために証明書を受け入れます。 |
|
5のみ、または5と任意の他の値 |
N/A |
CA証明書署名で使用するために証明書を受け入れます。 |
|
その他の任意の設定 |
選択する |
インポートできません。 |
|
その他の任意の設定 |
選択しない |
証明書は、SSLまたはS/MIME暗号化で使用するためにインポートできます。 |
脚注 1 KeyUsage拡張が「重要」な場合、証明書は他の目的で使用できません。
表9-3 Oracle Wallet ManagerによるOracleウォレットへの信頼できる証明書のインポート
| KeyUsageの値 | 重要性脚注 1 | 使用方法 |
|---|---|---|
|
なし |
N/A |
インポートできます。 |
|
5を除く任意の組合せ |
選択する |
インポートできません。 |
|
5を除く任意の組合せ |
選択しない |
インポートできます。 |
|
5のみ、または5と任意の他の値 |
N/A |
インポートできます。 |
脚注 1 KeyUsage拡張が「重要」とマークされている場合、証明書は他の目的で使用できません。
必要なOracle PKI証明書使用方法に対応する正しいKeyUsage値を使用して、CAから証明書を取得します。1つのウォレットには、同じ使用方法で使用する複数の鍵のペアを含めることができます。各証明書は、表9-2と表9-3に示されている複数のOracle PKI証明書使用方法をサポートできます。Oracle PKIアプリケーションは、必要なPKI証明書使用方法が含まれる最初の証明書を使用します。
たとえば、使用方法がSSLの場合は、SSL Oracle PKI証明書使用方法が含まれる最初の証明書が使用されます。
使用方法にSSLの証明書がない場合、NZE-28885エラー(必須の鍵使用方法のある証明書が見つかりません。)が戻されます。
Oracle Wallet Managerでは、ウォレットをLDAP準拠のディレクトリにアップロードし、LDAP準拠のディレクトリから取り出すことができます。集中化されたLDAP準拠のディレクトリにウォレットを格納すると、ユーザーは複数の場所やデバイスからウォレットにアクセスできるため、信頼性の高い一貫したユーザー認証が保証されます。また、ウォレットのライフ・サイクル全体を通じてウォレットを集中管理できます。有効なウォレットを誤って上書きしないようにするために、インストールされた証明書を含むウォレットのみをアップロードできます。
ユーザーがウォレットをアップロードまたはダウンロードするためにOracle Wallet Managerを使用できるようにするには、ディレクトリ・ユーザーのエントリを、LDAPディレクトリで定義および構成する必要があります。ディレクトリにOracle8i(またはそれ以前の)ユーザーが登録されている場合、それらのユーザーは、ウォレットのアップロードおよびダウンロード機能を初めて使用する際に自動的にアップグレードされます。
Oracle Wallet Managerは、LDAPディレクトリへの単一パスワード・ベースの接続を使用して、ユーザー・ウォレットをダウンロードします。しかし、アップロードする際、オープンしているウォレットにSSL Oracle PKI証明書使用方法を含む証明書が格納されている場合は、SSL接続が使用されます。ウォレット内にSSL証明書が存在しない場合は、パスワード・ベースの認証が使用されます。
|
注意: ディレクトリのパスワードとウォレットのパスワードは互いに独立しており、異なる値を設定できます。これらのパスワードをメンテナンスする際は、常に異なるものにすることをお薦めします。「異なる」というのは、一方から他方を論理的に導出できないという意味を含みます。 |
Oracle Wallet Managerを起動する手順は次のとおりです。
(Windowsの場合)「スタート」→「プログラム」→「Oracle-HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」を順に選択します。
(UNIXの場合)コマンドラインで、owmを入力します。
ウォレットは、ユーザー証明書および接続先の証明書を検証するのに必要なトラスト・ポイントを安全に格納できるリポジトリを提供します。
次の手順は、完全なウォレット作成プロセスの概要です。
Oracle Wallet Managerを使用して、新しいウォレットを作成します。
証明書要求を生成します。新しいウォレットをOracle Wallet Managerで作成する場合、ツールにより自動的に証明書要求の作成を求めるプロンプトが表示されます。
利用するCAに、証明書要求を送付します。電子メール・メッセージに証明書要求のテキストをコピーして貼り付けるか、証明書要求をファイルにエクスポートできます。証明書要求はウォレットの一部になります。証明書要求は、その関連する証明書を削除するまで、ウォレットに残しておく必要があります。
CAが、署名されたユーザー証明書とそれに関連する信頼できる証明書を送付するとき、これらの証明書を次の順序でインポートできます。PKCS #7形式のユーザー証明書と信頼できる証明書は、同時にインポートできます。
最初にCAの信頼できる証明書をウォレットにインポートします。デフォルトで、信頼できる証明書がすでにOracle Wallet Managerに存在するCAが、新しいユーザー証明書を発行した場合、この手順はオプションになります。
信頼できる証明書を正常にインポートしてから、CAにより送付されたユーザー証明書をウォレットにインポートします。
(オプション)ウォレットに自動ログイン機能を設定します。
一般に、この機能はパスワードなしでPKIベースでサービスにアクセスできるようにするため、ほとんどのウォレットに必要です。データベース・サーバーとクライアントのウォレットには必要です。起動時にウォレット・パスワードが必要な製品にのみオプションとなります。
前述のプロセスが完了すると、ユーザー証明書とそれに関連するトラスト・ポイントが含まれるウォレットが設定されます。
この項では、ウォレットを新規に作成する方法、および証明書要求の生成やエクスポート、証明書のウォレットへのインポートなどに関連するウォレット管理タスクの実行方法について、次の各項で説明します。
Oracleウォレットには、複数のデータベースに対してユーザーを認証するために使用されるユーザーの資格証明が含まれているため、ウォレットに対して強力なパスワードを選択することが特に重要となります。ウォレットのパスワードを突き止めた悪意あるユーザーは、そのウォレットの所有者がアクセス可能なすべてのデータベースにアクセスできます。
パスワードには、英文字と数字または特殊文字を組み合せて8文字以上を指定する必要があります。
Oracle Wallet Managerを使用して、ファイル・システム上のディレクトリに、資格証明を格納するPKCS #12ウォレット(標準のデフォルトのウォレット・タイプ)を作成できます。PKCS #11ウォレットを作成して、サーバー用のハードウェア・セキュリティ・モジュールに資格証明を格納し、クライアント用のトークンに秘密鍵を格納することができます。次の項では、Oracle Wallet Managerを使用して両タイプのウォレットを作成する方法について説明します。
ハードウェア・セキュリティ・モジュール(PKCS #11デバイス)がない場合には、ファイル・システムのディレクトリに資格証明を格納する標準のウォレットを使用する必要があります。
標準のウォレットを作成するには、次の作業を実行します。
メニュー・バーから「ウォレット」→「新規」を選択します。「新規ウォレット」ダイアログ・ボックスが表示されます。
「ウォレット・パスワード作成に関する必須ガイドライン」に従って、「ウォレット・パスワード」フィールドにパスワードを入力します。パスワードは資格証明の無許可使用を防止します。
「パスワードの確認」フィールドにそのパスワードを再入力します。
「ウォレット・タイプ」リストから「標準」を選択します。
「OK」をクリックして処理を継続します。入力したパスワードが必須ガイドラインに準拠していない場合は、次のメッセージが表示されます。
パスワードは、8文字以上の長さで、数字または特殊文字、およびアルファベット文字を含める必要があります。再試行しますか。
警告が表示され、空のウォレットが新規に作成されたことが通知されます。証明書要求を追加するかどうかを決定するように求められます。「証明書要求の追加」を参照してください。
「いいえ」を選択すると、Oracle Wallet Managerのメイン・ウィンドウに戻ります。新規に作成したウォレットが左側のウィンドウのペインに表示されます。証明書の状態は「空」で、ウォレットによりデフォルトの信頼できる証明書が表示されます。
「ウォレット」→「システム・デフォルトに保存」を選択して、新しいウォレットを保存します。
システム・デフォルトにウォレットを保存する許可を得ていない場合は、別の場所に保存できます。 この位置は、クライアントとサーバーのSSL構成内を使用してください。
ウィンドウの最下部のメッセージで、ウォレットが正常に保存されたことを確認します。
ウォレットを作成して、PKCS #11に準拠するハードウェア・セキュリティ・モジュールに資格証明を格納するには、次の作業を実行します。
メニュー・バーから「ウォレット」→「新規」を選択します。「新規ウォレット」ダイアログ・ボックスが表示されます。
「ウォレット・パスワード作成に関する必須ガイドライン」に従って、「ウォレット・パスワード」フィールドにパスワードを入力します。
「パスワードの確認」フィールドにそのパスワードを再入力します。
「ウォレット・タイプ」リストから「PKCS11」を選択し、「OK」をクリックして処理を継続します。「新規PKCS11ウォレット」ウィンドウが表示されます。
「ハードウェア・ベンダーの選択」リストからベンダー名を選択します。
|
注意: Oracle Wallet Managerの現在のリリースでは、Oracleウォレットとの相互運用がSafeNETおよびnCipherのハードウェアで認証されています。 |
「PKCS11ライブラリのファイル名」フィールドで、PKCS11ライブラリが格納されているディレクトリへのパスを入力するか、「参照」をクリックしてファイル・システムを検索してそのパスを探します。
「スマートカードのパスワード」を入力して、「OK」をクリックします。
スマートカード・パスワードは、ウォレット・パスワードとは異なり、ウォレット内に格納されます。
警告が表示され、空のウォレットが新規に作成されたことが通知されます。証明書要求を追加するかどうかを決定するように求められます。詳細は、「証明書要求の追加」を参照してください。
「いいえ」を選択すると、Oracle Wallet Managerのメイン・ウィンドウに戻ります。新規に作成したウォレットが左側のウィンドウのペインに表示されます。証明書の状態は「空」で、ウォレットによりデフォルトの信頼できる証明書が表示されます。
「ウォレット」→「システム・デフォルトに保存」を選択して、新しいウォレットを保存します。
システム・デフォルトにウォレットを保存する許可を得ていない場合は、別の場所に保存できます。
ウィンドウの最下部のメッセージで、ウォレットが正常に保存されたことを確認します。
|
注意: スマートカード・パスワードを変更、またはPKCS #11ライブラリを移動すると、ウォレットをオープンしようとするときに、エラー・メッセージが表示されます。新しいスマートカード・パスワードとライブラリへの新しいパスを入力するように求められます。 |
次のように、ファイル・システム・ディレクトリ上にすでに存在しているウォレットをオープンします。
メニュー・バーから「ウォレット」→「開く」を選択します。「ディレクトリの選択」ダイアログ・ボックスが表示されます。
ウォレットが存在するディレクトリ位置に移動し、そのディレクトリを選択します。
「OK」をクリックします。「ウォレットを開く」ダイアログ・ボックスが表示されます。
「ウォレット・パスワード」フィールドにウォレット・パスワードを入力します。
「OK」をクリックします。
メイン・ウィンドウに戻り、ウォレットが正常にオープンされたことを示すメッセージがウィンドウの最下部に表示されます。ウォレットの証明書とその信頼できる証明書が左側のウィンドウのペインに表示されます。
現在選択しているディレクトリで開いているウォレットを閉じる手順は次のとおりです。
「ウォレット」→「閉じる」を選択します。
ウィンドウの最下部にウォレットがクローズしていることを確認するメッセージが表示されます。
Oracle Wallet Managerでは、Oracleウォレットをサード・パーティ環境にエクスポートできます。
ウォレットをサード・パーティ環境にエクスポートする手順は、次のとおりです。
Oracle Wallet Managerを使用して、ウォレット・ファイルを保存します。
サード・パーティ製品に固有の手順に従って、Oracle Wallet Managerで作成したオペレーティング・システムのPKCS #12ウォレット・ファイル(UNIXおよびWindowsプラットフォームではewallet.p12ファイル)をインポートします。
|
注意:
|
PKCS #12をサポートしないツールにウォレットをエクスポートする場合は、ウォレットをテキストベースのPKI形式にエクスポートできます。個々のコンポーネントは、表9-4にリストされている標準に従い、フォーマットされます。ウォレット内部では、SSLキー使用方法を含む証明書のみがウォレットとともにエクスポートされます。
テキストベースのPKI形式にウォレットをエクスポートする手順は次のとおりです。
「操作」→「ウォレットのエクスポート」を選択します。「ウォレットのエクスポート」ダイアログ・ボックスが表示されます。
ウォレット用の宛先ファイル・システム・ディレクトリを入力するか、「フォルダ」の元にあるディレクトリ構造にナビゲートします。
ウォレット用の宛先ファイル名を入力します。
「OK」をクリックして、メイン・ウィンドウに戻ります。
特定のウォレットにSSL証明書が含まれる場合、Oracle Wallet Managerは、LDAPディレクトリにそのウォレットをアップロードする際にSSLを使用します。SSL証明書が含まれていない場合は、ユーザーがディレクトリのパスワードを入力します。
ウォレットを誤って壊してしまうことがないように、Oracle Wallet Managerでは、ターゲットのウォレットが現在オープンしており、少なくとも1つのユーザー証明書を含んでいる場合を除いて、アップロード・オプションを実行できないようになっています。
ウォレットをアップロードする手順は、次のとおりです。
「ウォレット」→「ディレクトリ・サービス内へのアップロード」を選択します。現在オープンしているウォレットが保存されていない場合は、次のメッセージを含むダイアログ・ボックスが表示されます。
アップロードする前に、ウォレットを保存する必要があります。 保存しますか。
「はい」をクリックして処理を続行します。
ウォレットの証明書に、SSLの鍵使用方法が含まれているかがチェックされます。ウォレットにSSLの鍵使用方法がある証明書が見つかるかどうかにより、次の結果のいずれかが発生します。
少なくとも1つの証明書にSSLの鍵使用方法がある場合: LDAPディレクトリ・サーバー・ホスト名とポート情報の入力が要求されたらそれを入力し、「OK」をクリックします。Oracle Wallet Managerは、SSLを使用してLDAPディレクトリ・サーバーへの接続を試みます。ウォレットが正常にアップロードされたか、失敗したかを示すメッセージが表示されます。
どの証明書にもSSLの鍵使用方法がない場合: ユーザーの識別名(DN)、LDAPディレクトリ・サーバー・ホスト名とポート情報の入力が要求されたらそれらを入力し、「OK」をクリックします。Oracle Wallet Managerは、ウォレットのパスワードがディレクトリ・パスワードを同じであると仮定して、簡易パスワード認証モードを使用してLDAPディレクトリ・サーバーへの接続を試行します。
接続が失敗すると、指定したDNのディレクトリ・パスワードの入力を要求するダイアログ・ボックスが表示されます。Oracle Wallet Managerは、このパスワードを使用してLDAPディレクトリ・サーバーへの接続を試行し、失敗すると警告メッセージが表示されます。成功すると、Oracle Wallet Managerには、ウィンドウの最下部にアップロードの成功を示すメッセージが表示されます。
|
注意:
|
ウォレットがLDAPディレクトリからダウンロードされると、そのウォレットは作業メモリー内に格納されます。次の項で説明する「保存」オプションを使用して明示的に保存しないかぎり、ウォレットはファイル・システムに保存されません。
LDAPディレクトリからウォレットをダウンロードする手順は、次のとおりです。
「ウォレット」→「ディレクトリ・サービスからのダウンロード」を選択します。
ユーザーの識別名(DN)と、LDAPディレクトリ・パスワード、ホスト名およびポートの情報の入力を求めるダイアログ・ボックスが表示されます。Oracle Wallet Managerは、簡易パスワード認証を使用してLDAPディレクトリに接続します。
ダウンロードの処理が成功したかどうかにより、次の結果のいずれかが発生します。
ダウンロード処理が失敗した場合: ユーザーのDN、LDAPサーバー・ホスト名とポート情報を正しく入力したかどうかを確認します。使用するポートは、非SSLポートである必要があります。
ダウンロードが成功した場合: 「OK」をクリックしてダウンロードしたウォレットをオープンします。Oracle Wallet Managerはディレクトリ・パスワードを使用してそのウォレットのオープンを試行します。ディレクトリのパスワードを使用したウォレットのオープンが失敗すると、ウォレットのパスワードの入力を求めるダイアログ・ボックスが表示されます。
Oracle Wallet Managerがウォレット・パスワードを使用してターゲットのウォレットをオープンできない場合は、正しいパスワードを入力したかどうかを確認します。成功すると、ウィンドウの最下部にダウンロードの成功を示すメッセージが表示されます。
現在開いているウォレットに対する変更を保存する手順は次のとおりです。
「ウォレット」→「保存」を選択します。
ウィンドウの最下部にあるメッセージで、ウォレットの変更が選択したディレクトリ位置のウォレットに正常に保存されたことを確認します。
オープンしているウォレットを新しい位置に保存するには、「別名保存」メニュー・オプションを使用します。
「ウォレット」→「別名保存」を選択します。「ディレクトリの選択」ダイアログ・ボックスが表示されます。
ウォレットを保存するディレクトリ位置を選択します。
「OK」をクリックします。
選択した位置にウォレットがすでに存在している場合は、次のメッセージが表示されます。
選択した位置にはウォレットがすでに存在します。 上書きしますか。
既存のウォレットを上書きする場合は「はい」、ウォレットを別の位置に保存する場合は「いいえ」をクリックします。
ウィンドウの最下部にあるメッセージで、ウォレットが選択したディレクトリ位置に正常に保存されたことを確認します。
デフォルトのディレクトリの位置にウォレットを保存するには、「システム・デフォルトに保存」メニュー・オプションを使用します。
「ウォレット」→「システム・デフォルトに保存」を選択します。
ウィンドウの最下部にあるメッセージで、ウォレットが、UNIXとWindowsプラットフォームで次のように、システム・デフォルト・ウォレット・ロケーションに正常に保存されたことを確認します。
(UNIXの場合)etc/ORACLE/WALLETS/username
(Windowsの場合)%USERPROFILE%¥ORACLE¥WALLETS
現在開いているウォレットを削除する手順は次のとおりです。
「ウォレット」→「削除」を選択します。「ウォレットの削除」ダイアログ・ボックスが表示されます。
表示されているウォレット・ロケーションを再度確認して、正しいウォレットを削除しようとしているか確認します。
ウォレットのパスワードを入力します。
「OK」をクリックします。ウォレットが正常に削除されたことを通知するダイアログ・パネルが表示されます。
|
注意: アプリケーション・メモリー内で開いているウォレットはすべて、アプリケーションを終了するまでメモリー内に残ります。したがって、現在使用中のウォレットを削除しても、システムの操作がただちにその影響を受けることはありません。 |
パスワードを変更すると、その変更がただちに有効となります。 ウォレットは現在選択されているディレクトリに、パスワードで暗号化されて保存されます。
現在オープンしているウォレットのパスワードを変更する手順は、次のとおりです。
「ウォレット」→「パスワードの変更」を選択します。「ウォレット・パスワードの変更」ダイアログ・ボックスが表示されます。
既存のウォレット・パスワードを入力します。
新しいウォレット・パスワードを入力します。
新しいウォレット・パスワードをもう一度入力します。
「OK」をクリックします。
ウィンドウの最下部にメッセージが表示され、パスワードが正常に変更されたことが通知されます。
必要なパスワードを入力するために人の介入を必要とせずに、サービスに対するPKIベースのアクセスを可能にできます。この機能は自動ログインと呼ばれます。自動ログインを使用可能にすると、ウォレットの不明瞭化されたコピーが作成されます。これは、ウォレットの自動ログイン機能が使用禁止にされるまで自動的に使用されます。
自動ログイン・ウォレットは、ファイル・システム権限によって保護されます。ウォレットの自動ログインを使用可能にすると、そのウォレットを作成したオペレーティング・システム・ユーザーのみがOracle Wallet Managerでウォレットを管理できるようになります。
複数のOracle Databaseに対してシングル・サインオン・アクセスを希望する場合は、自動ログインを使用可能にする必要があります。通常、このようなアクセスはデフォルトで使用禁止になっています。 不明瞭化された自動ログイン・ウォレットは、シングル・サインオン機能をサポートするため、「SSOウォレット」と呼ばれることもあります。
自動ログインを使用可能にする手順は次のとおりです。
メニュー・バーから「ウォレット」を選択します。
「自動ログイン」を選択します。ウィンドウの最下部に自動ログインが使用可能であることを示すメッセージが表示されます。
すべての証明書は、ネットワーク識別情報と対応する公開鍵をバインドする署名されたデータ構造になっています。表9-5に、この章で区別される2種類の証明書を示します。
表9-5 証明書の種類
| 証明書の種類 | 例 |
|---|---|
|
ユーザー証明書 |
公開鍵や秘密鍵交換でエンド・エンティティの識別情報を証明するためにサーバーまたはユーザーに対して発行される証明書 |
|
信頼できる証明書 |
発行するユーザー証明書に署名する認証局など、信頼できるエンティティを表す証明書 |
次の各項では、両方の種類の証明書を管理する方法について説明します。
|
注意: ユーザー証明書をインストールするには、ウォレットに、そのユーザー証明書を発行した認証局を表す信頼できる証明書が含まれている必要があります。ただし、新しいウォレットを作成するたびに、広く使用されているいくつかの公的に信頼できる証明書が自動的にインストールされます。必要な認証局が表示されない場合、最初にその証明書をインストールする必要があります。 また、PKCS#7証明連鎖形式を使用してインポートすることもできます。この形式では、ユーザー証明書とCA証明書が同時に提供されます。 |
サーバーの証明書など、ユーザー証明書は、エンド・ユーザー、スマートカード、Webサーバーのようなアプリケーションによって使用されます。たとえば、CAがWebサーバー用の証明書を発行する場合、「サブジェクト」フィールドにその識別名(DN)を配置すると、Webサーバーが証明書の所有者となり、このユーザー証明書のユーザーになります。
ユーザー証明書の管理には次の作業があります。
複数の証明書要求をOracle Wallet Managerで追加できます。Oracle Wallet Managerでは、複数の要求を追加すると、以降の要求ダイアログ・ボックスに初期要求の内容が自動的に表示されます。ユーザーはこの内容を編集できます。
実際の証明書要求がウォレットの一部になります。いずれかの証明書を再利用して、新たに証明書を取得できます。ただし、既存の証明書要求は編集できません。ウォレットに正しく記載されている証明書要求のみを保存します。
PKCS #10証明書要求を作成する手順は次のとおりです。
「操作」→「証明書リクエストの追加」を選択します。「証明書リクエストの追加」ダイアログ・ボックスが表示されます。
|
注意: モーダル・ダイアログ・ボックス(証明書要求情報を入力するダイアログ・ボックスなど)が表示されると、Oracle Wallet Managerのオンライン・ヘルプは応答しなくなります。モーダル・ダイアログ・ボックスがクローズすると、オンライン・ヘルプが応答するようになります。 |
表9-6で指定されている情報を入力します。
「OK」をクリックします。証明書要求が正常に作成されたことを示すメッセージが表示されます。このダイアログ・パネルの本文から証明書要求テキストをコピーして、それを認証局に送信する電子メール・メッセージに貼り付けるか、またはその証明書要求をファイルにエクスポートすることもできます。この時点で、Oracle Wallet Managerが秘密鍵と公開鍵のペアを作成し、これをウォレットに格納します。認証局が証明書を発行すると、この証明書もウォレットに格納され、対応する秘密鍵に関連付けられます。
「OK」をクリックして、Oracle Wallet Managerのメイン・ウィンドウに戻ります。証明書のステータスが「リクエスト」に変わります。
表9-6 証明書要求: フィールドと説明
| フィールド名 | 説明 |
|---|---|
|
一般名 |
必須。ユーザーの識別情報またはサービスの識別情報の名前を入力します。名/姓の形式でユーザー名を入力します。 例: Eileen.Sanger |
|
組織単位 |
オプション。識別情報の組織単位の名前を入力します。例: 財務 |
|
組織 |
オプション。識別情報の組織の名前を入力します。例: XYZ Corp. |
|
市町村 |
オプション。識別情報が常駐する地方または市の名前を入力します。 |
|
都道府県 |
オプション。識別情報が常駐する州または省の完全名を入力します。 2文字からなる省略形を受け入れない認証局もあるため、州は完全名で入力してください。 |
|
国 |
必須。「国名」を選択して、国の略称のリストを表示します。その組織の所在地である国を選択します。 |
|
鍵のサイズ |
必須。「鍵のサイズ」を選択して、公開鍵と秘密鍵のペアを作成するときに使用する鍵サイズのリストを表示します。鍵サイズの値は、表9-7を参照してください。 |
|
詳細 |
オプション。「詳細」を選択して、「証明書リクエストの詳細」ダイアログ・パネルを表示します。このフィールドを使用して、識別情報の識別名(DN)を編集またはカスタマイズします。たとえば、州の完全名と、地方を編集できます。 |
表9-7は、使用可能な鍵のサイズと各サイズで提供される関連のセキュリティを示しています。一般的に、CAは1024または2048の鍵のサイズを使用します。証明書の所有者が、長い期間、鍵を保有することを希望する場合は、3072または4096ビットの鍵を選択します。
認証局が証明書を付与する場合、テキスト(BASE64)形式の証明書を含む電子メールか、証明書がバイナリ・ファイルとして添付された電子メールを送信します。
電子メール・メッセージから、テキスト(BASE64)として表示される証明書をコピーします。「Begin Certificate」から「End Certificate」までをコピーしてください。
「操作」→「ユーザー証明書のインポート」を選択します。「証明書のインポート」ダイアログ・ボックスが表示されます。
「証明書の貼付け」を選択して、次に「OK」をクリックします。別の「証明書のインポート」ダイアログ・ボックスに次のメッセージが表示されます。
base64形式の証明書を下に貼り付けてください。
ダイアログ・ボックスに証明書を貼り付けて、「OK」をクリックします。
受信した証明書がPKCS#7形式の場合、この証明書はインストールされます。このPKCS#7データと一緒に含まれていた他のすべての証明書は、信頼できる証明書のリストに追加されます。
受信した証明書がPKCS#7形式ではない場合、そのCAの証明書が信頼できる証明書のリストにまだないため、追加手順が必要になります。Oracle Wallet Managerにより、証明書を発行したCAの証明書をインポートするよう求められます。このCA証明書は、信頼できる証明書のリストに追加されます。(CA証明書がすでに信頼できる証明書のリストに存在している場合、追加手順なしで証明書がインポートされます。)
(a)または(b)が成功した場合は、ウィンドウの最下部のメッセージで、証明書が正常にインストールされたことを確認します。Oracle Wallet Managerのメイン・パネルに戻り、左パネルのサブツリー内にある対応するエントリの状態が「待機中」に変わります。
|
注意: 標準X.509証明書には、次の開始テキストと終了テキストが含まれます。
一般的なPKCS#7証明書には、前述のようにさらに多くの情報が含まれています。開始テキストと終了テキストは次のとおりです。
すべてのダッシュも含めてコピーは[Ctrl]+[C]キーを押し、貼付けは[Ctrl]+[V]キーを押します。 |
ファイル内のユーザー証明書は、テキスト(BASE64)またはバイナリ(der)形式になります。
「操作」→「ユーザー証明書のインポート」を選択します。「証明書のインポート」ダイアログ・ボックスが表示されます。
「証明書を含むファイルを選択」を選択し、次に「OK」をクリックします。別の「証明書のインポート」ダイアログ・ボックスが表示されます。
証明書ファイルがある位置のパスまたはフォルダ名を入力します。
証明書ファイルの名前(例: cert.txt、cert.der)を選択します。
「OK」をクリックします。
受信した証明書がPKCS#7形式の場合、この証明書はインストールされます。このPKCS#7データと一緒に含まれていた他のすべての証明書は、信頼できる証明書のリストに追加されます。
受信した証明書がPKCS#7形式ではない場合、そのCAの証明書が信頼できる証明書のリストにまだないため、追加手順が必要になります。Oracle Wallet Managerにより、証明書を発行したCAの証明書をインポートするよう求められます。このCA証明書は、信頼できる証明書のリストに追加されます。(CA証明書がすでに信頼できる証明書のリストに存在している場合、追加手順なしで証明書がインポートされます。)
(a)または(b)が成功した場合は、ウィンドウの最下部のメッセージで、証明書が正常にインストールされたことを確認します。Oracle Wallet Managerのメイン・パネルに戻り、左パネルのサブツリー内にある対応するエントリの状態が「待機中」に変わります。
サード・パーティ証明書とは、Oracle Wallet Managerを使用して生成されなかった証明書要求から作成された証明書のことです。このようなサード・パーティ証明書には、ユーザー証明書の他にその証明書の秘密鍵も含まれるため、実際にはウォレットです。さらに、サード・パーティ証明書には、証明書が信頼できるエンティティによって作成されたことを示す信頼できる証明書の連鎖が含まれます。
Oracle Wallet Managerは、こうしたウォレットをPKCS#12形式でインポートすることにより、1回の手順で使用可能にします。これには、前述の3つの要素(ユーザー証明書、秘密鍵および信頼できる証明書)がすべて含まれます。Oracle Wallet Managerは次のPKCS #12形式の証明書をサポートしています。
Oracle Wallet ManagerはPKCS#12標準に準拠しているため、PKCS#12準拠ツールによってエクスポートされた証明書は、Oracle Wallet Managerで使用できます。
こうしたサード・パーティ証明書は、秘密鍵と信頼できる認証局の連鎖がないため、既存のOracleウォレットに格納することはできません。したがって、こうした証明書はそれぞれ、独立したPKCS#12ファイルとしてではなく、つまり独自のウォレットとしてエクスポートされ、取り出されます。
サード・パーティを使用してウォレットを作成した場合、このウォレットを利用するには、この項で説明するように、このウォレットをインポートする必要があります。
サード・パーティ・ツールを使用して作成されたウォレットをインポートするには、次の作業を実行します。
製品固有の手順に従って、証明書をエクスポートします。製品のエクスポートに示されている処置を行って秘密鍵をエクスポートに含め、新しいパスワードを指定してエクスポートされた証明書を保護します。関連するトラスト・ポイントもすべて含めます。(PKCS #12では、ブラウザは必ずしも署名者自身の証明書以外の信頼できる証明書をエクスポートするとはかぎりません。接続先に対する認証を行うために、追加証明書を追加する必要がある場合があります。Oracle Wallet Managerを使用して、信頼できる証明書をインポートできます。)
証明書、秘密鍵およびトラスト・ポイントが含まれた結果のファイルは、サード・パーティ証明書を使用可能にする新しいウォレットになります。
ウォレットをWebサーバー、LDAPサーバーなど、特定のアプリケーションまたはサーバーで使用できるようにするには、ウォレットを正確に配置する必要があります。各アプリケーションには、必要なウォレットを検索するディレクトリに関する独自の期待値があります。ウォレットを正しいシステムおよびディレクトリにコピーして、検索される場所にウォレットを配置する必要があります。
UNIXまたはWindowsアプリケーションまたはサーバーで使用する場合、ウォレットにewallet.p12という名前を付ける必要があります。
その他のオペレーティング・システムについては、オペレーティング・システム固有のOracleのマニュアルを参照してください。
サード・パーティ証明書がewallet.p12として格納されると、Oracle Wallet Managerを使用してこの証明書をオープンし、管理できます。このウォレットをエクスポートする場合、作成したパスワードを入力する必要があります。
|
注意: このパスワードは、関連するアプリケーションが起動するたびに、または証明書が必要になるたびに必要になります。このようなアクセスを自動化するには、「自動ログインの使用方法」を参照してください。 ただし、必要な証明書の秘密鍵が別のハードウェア・セキュリティ・モジュールで保持されている場合、その証明書をインポートすることはできません。 |
ウォレットからユーザー証明書を削除する手順は次のとおりです。
左パネルのサブツリーで、削除する証明書を選択します。
「操作」→「ユーザー証明書の削除」を選択します。ダイアログ・パネルが表示され、ウォレットからそのユーザー証明書を削除するかどうか確認を求められます。
「はい」を選択して、Oracle Wallet Managerのメイン・パネルに戻ります。証明書は「リクエスト」のステータスを表示します。
対応する要求を削除する前に、証明書を削除する必要があります。
証明書要求を削除する手順は、次のとおりです。
左パネルのサブツリーで、削除する証明書要求を選択します。
「操作」→「証明書リクエストの削除」を選択します。
「はい」をクリックします。証明書は「空」のステータスを表示します。
ファイル・システム・ディレクトリに証明書を保存するには、次の手順を使用して証明書をエクスポートします。
左パネルのサブツリーで、エクスポートする証明書を選択します。
メニュー・バーから「操作」→「ユーザー証明書のエクスポート」を選択します。「証明書のエクスポート」ダイアログ・ボックスが表示されます。
証明書を保存するファイル・システム・ディレクトリの位置を入力するか、「フォルダ」の下のディレクトリ構造にナビゲートします。
「ファイル名」フィールドに、証明書を保存するファイル名を入力します。
「OK」をクリックします。ウィンドウの最下部に、証明書が指定したファイルに正常にエクスポートされたことを通知するメッセージが表示されます。Oracle Wallet Managerのメイン・ウィンドウに戻ります。
|
関連項目: ウォレットのエクスポートの詳細は、「Oracleウォレットのサード・パーティ環境へのエクスポート」を参照してください。Oracle Wallet Managerは単一のウォレットへの複数の証明書の格納をサポートしていますが、現在のブラウザでは、一般に単一証明書を含むウォレットのみサポートしていることに注意してください。したがって、これらのブラウザにインポートする場合は、単一鍵ペアを含むOracleウォレットをエクスポートする必要があります。 |
ファイル・システム・ディレクトリに証明書要求を保存するには、次の手順を使用して証明書要求をエクスポートします。
左パネルのサブツリーで、エクスポートする証明書要求を選択します。
「操作」→「証明書リクエストのエクスポート」を選択します。「証明書リクエストのエクスポート」ダイアログ・ボックスが表示されます。
証明書要求を保存するファイル・システム・ディレクトリの位置を入力するか、「フォルダ」の下のディレクトリ構造にナビゲートします。
「ファイル名」フィールドに、証明書要求を保存するファイル名を入力します。
「OK」を選択します。ウィンドウの最下部のメッセージで、証明書要求がそのファイルに正常にエクスポートされたことを確認します。Oracle Wallet Managerのメイン・ウィンドウに戻ります。
信頼できる証明書の管理には次の作業があります。
認証局から受信する電子メールから貼り付けるか、ファイルからインポートするかのいずれかの方法で、信頼できる証明書をウォレットにインポートできます。
Oracle Wallet Managerでは、新規ウォレットの作成時に、VeriSign、RSA、EntrustおよびGTE CyberTrustの信頼できる証明書が自動的にインストールされます。
ユーザー証明書が含まれている受信した電子メール・メッセージの本文から信頼できる証明書をコピーします。「Begin Certificate」から「End Certificate」までをコピーしてください。
メニュー・バーから「操作」→「信頼できる証明書のインポート」を選択します。「信頼できる証明書のインポート」ダイアログ・パネルが表示されます。
「証明書の貼付け」を選択して、次に「OK」をクリックします。別の「信頼できる証明書のインポート」ダイアログ・パネルに次のメッセージが表示されます。
base64形式の証明書を下に貼り付けてください。
ダイアログ・パネルに証明書を貼り付けて、「OK」をクリックします。ウィンドウの最下部のメッセージで、信頼できる証明書が正常にインストールされたことが通知されます。
「OK」をクリックします。Oracle Wallet Managerのメイン・パネルに戻り、貼り付けた信頼できる証明書が「信頼できる証明書」ツリーの最下部に表示されます。
|
証明書をコピーおよび貼り付けるショートカット・キー: コピーは[Ctrl]+[C]キーを押し、貼り付けは[Ctrl]+[V]キーを押します。 |
信頼できる証明書を含むファイルはテキスト(BASE64)またはバイナリ(der)形式で保存されている必要があります。
「操作」→「信頼できる証明書のインポート」を選択します。「信頼できる証明書のインポート」ダイアログ・パネルが表示されます。
信頼できる証明書がある位置のパスまたはフォルダ名を入力します。
信頼できる証明書ファイルの名前(例: cert.txt)を選択します。
「OK」をクリックします。ウィンドウの最下部にメッセージが表示され、信頼できる証明書がウォレットに正常にインストールされたことが通知されます。
「OK」をクリックして、ダイアログ・パネルを閉じます。Oracle Wallet Managerのメイン・パネルに戻り、貼り付けた信頼できる証明書が「信頼できる証明書」ツリーの最下部に表示されます。
信頼できる証明書がウォレット内に依然として存在するユーザー証明書に署名するために使用されている場合は、その信頼できる証明書を削除することはできません。このような信頼できる証明書を削除するには、その前に、それによって署名された証明書を削除する必要があります。また、信頼できる証明書がウォレットから削除された後は、証明書を検証できません。
ウォレットから信頼できる証明書を削除する手順は次のとおりです。
信頼できる証明書ツリー内にリストされている信頼できる証明書を選択します。
メニュー・バーから「操作」→「信頼できる証明書の削除」を選択します。
ダイアログ・パネルに警告が表示され、署名に使用した信頼できる証明書を削除すると、受信者側でユーザー証明書を確認できなくなることが通知されます。
「はい」を選択します。「信頼できる証明書」ツリーから、選択した信頼できる証明書が削除されます。
信頼できる証明書を別のファイル・システム位置にエクスポートする手順は、次のとおりです。
左パネルのサブツリーで、エクスポートする信頼できる証明書を選択します。
「操作」→「信頼できる証明書のエクスポート」を選択します。「信頼できる証明書のエクスポート」ダイアログ・ボックスが表示されます。
信頼できる証明書を保存するファイル・システム・ディレクトリを入力するか、「フォルダ」の下のディレクトリ構造にナビゲートします。
信頼できる証明書の保存先のファイル名を入力します。
「OK」をクリックします。Oracle Wallet Managerのメイン・ウィンドウに戻ります。
